Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
dovecot - welcher User + welche Berechtigungen/Owner in /var/vmail?
42 views
Skip to first unread message
Anton Blau
Apr 13, 2020, 5:00:02 AM4/13/20
to
Hallo,
ich installiere gerade meinen selbstgehosteten dovecot auf Ubuntu
18.04.4 LTS neu. Nachdem der dovecot zukünftig für mich direkt aus dem
Internet erreichbar sein soll, ist mir das Thema Sicherheit sehr wichtig.
Hierzu hätte ich folgende Fragen:
1. Unter welchem User sollte dovecot denn dovecot sinnvoller Weise laufen?
Ein "ps -aux | grep dovecot" ergibt:
root 148 0.0 0.0 18516 2296 ? Ss 09:41 0:00
/usr/sbin/dovecot -F
dovecot 167 0.0 0.0 9868 944 ? S 09:41 0:00
dovecot/anvil
root 168 0.0 0.0 10000 1984 ? S 09:41 0:00 dovecot/log
root 170 0.0 0.0 21412 3196 ? S 09:41 0:00
dovecot/config
root 2626 0.0 0.0 13132 880 ? S+ 10:55 0:00 grep
--color=auto dovecot
Das bedeutet doch, dass dovecot in der standard-Einstellung von ubuntu
unter dem Unser "root" läuft. Ist das im Hinblick auf die Sicherheit
des Systems so sinnvoll?
2. Welche Berechtigungen/Owner sollten im Verzeichnis /var/vmail gesetzt
sein?
Die E-Mails liegen als Maildir in /var/vmail/mail
/etc/dovecot/conf.d/10-mail.conf
...
mail_location = maildir:/var/vmail/mail/%u:INBOX=/var/vmail/mail/%u
...
Welche Berechtigungen und Owner sollten denn in den Verzeichnissen
/var/vmail
/var/vmail/mail
/var/vmail/sieve
gesetzt sein?
Vielen Dank!
Tony
ich installiere gerade meinen selbstgehosteten dovecot auf Ubuntu
18.04.4 LTS neu. Nachdem der dovecot zukünftig für mich direkt aus dem
Internet erreichbar sein soll, ist mir das Thema Sicherheit sehr wichtig.
Hierzu hätte ich folgende Fragen:
1. Unter welchem User sollte dovecot denn dovecot sinnvoller Weise laufen?
Ein "ps -aux | grep dovecot" ergibt:
root 148 0.0 0.0 18516 2296 ? Ss 09:41 0:00
/usr/sbin/dovecot -F
dovecot 167 0.0 0.0 9868 944 ? S 09:41 0:00
dovecot/anvil
root 168 0.0 0.0 10000 1984 ? S 09:41 0:00 dovecot/log
root 170 0.0 0.0 21412 3196 ? S 09:41 0:00
dovecot/config
root 2626 0.0 0.0 13132 880 ? S+ 10:55 0:00 grep
--color=auto dovecot
Das bedeutet doch, dass dovecot in der standard-Einstellung von ubuntu
unter dem Unser "root" läuft. Ist das im Hinblick auf die Sicherheit
des Systems so sinnvoll?
2. Welche Berechtigungen/Owner sollten im Verzeichnis /var/vmail gesetzt
sein?
Die E-Mails liegen als Maildir in /var/vmail/mail
/etc/dovecot/conf.d/10-mail.conf
...
mail_location = maildir:/var/vmail/mail/%u:INBOX=/var/vmail/mail/%u
...
Welche Berechtigungen und Owner sollten denn in den Verzeichnissen
/var/vmail
/var/vmail/mail
/var/vmail/sieve
gesetzt sein?
Vielen Dank!
Tony
Tim Ritberg
Apr 13, 2020, 5:37:02 AM4/13/20
to
Am 13.04.20 um 11:00 schrieb Anton Blau:
>
> 2. Welche Berechtigungen/Owner sollten im Verzeichnis /var/vmail gesetzt
> sein?
Laufen da nur virtualle Domains drauf? Dann wäre es vmail:vmail.
Warum suchst du dir da nicht ein Howto zu, gibts viele.
Tim
> Hallo,
>
> ich installiere gerade meinen selbstgehosteten dovecot auf Ubuntu
> 18.04.4 LTS neu. Nachdem der dovecot zukünftig für mich direkt aus dem
> Internet erreichbar sein soll, ist mir das Thema Sicherheit sehr wichtig.
>
> Hierzu hätte ich folgende Fragen:
>
> 1. Unter welchem User sollte dovecot denn dovecot sinnvoller Weise laufen?
>
Da kümmert sich doch Ubuntu schon drum.
>
> ich installiere gerade meinen selbstgehosteten dovecot auf Ubuntu
> 18.04.4 LTS neu. Nachdem der dovecot zukünftig für mich direkt aus dem
> Internet erreichbar sein soll, ist mir das Thema Sicherheit sehr wichtig.
>
> Hierzu hätte ich folgende Fragen:
>
> 1. Unter welchem User sollte dovecot denn dovecot sinnvoller Weise laufen?
>
>
> 2. Welche Berechtigungen/Owner sollten im Verzeichnis /var/vmail gesetzt
> sein?
Warum suchst du dir da nicht ein Howto zu, gibts viele.
Tim
Anton Blau
Apr 13, 2020, 6:12:58 AM4/13/20
to
Am 13.04.2020 um 11:37 schrieb Tim Ritberg:
> Am 13.04.20 um 11:00 schrieb Anton Blau:
Vielen Dank für die schnellen Antworten.
> Am 13.04.20 um 11:00 schrieb Anton Blau:
>> 1. Unter welchem User sollte dovecot denn dovecot sinnvoller Weise laufen?
>>
> Da kümmert sich doch Ubuntu schon drum.
ausgeführt wird ist das in Bezug auf die Sicherheit in Ordnung - oder?
>> 2. Welche Berechtigungen/Owner sollten im Verzeichnis /var/vmail gesetzt
>> sein?
> Laufen da nur virtualle Domains drauf? Dann wäre es vmail:vmail.
Und welche Rechte? chmod 770? Muss dann root (der dovecot ausführt) in
die Gruppe vmail?
> Warum suchst du dir da nicht ein Howto zu, gibts viele.
Sicherheit habe ich in Bezug auf die beiden Fragen bisher nirgendwo als
Antwort gefunden.
Ich bin aber für alle Tipps dankbar.
VG
Tony
Tim Ritberg
Apr 13, 2020, 7:13:20 AM4/13/20
to
Am 13.04.20 um 12:12 schrieb Anton Blau:
>
> Verstehe ich das richtig, wenn dovecot unter dem Benutzer root
> ausgeführt wird ist das in Bezug auf die Sicherheit in Ordnung - oder?
Jein, jeder Dienst, der Ports unterhalb von 1025 nutzt, läuft erst als Root.
Die Forks davon laufen dann als dovecot, www-data etc...
>
> Und welche Rechte? chmod 770? Muss dann root (der dovecot ausführt) in
> die Gruppe vmail?
Nein.
>
>> Warum suchst du dir da nicht ein Howto zu, gibts viele.
>
> Ich habe viele HowTos zu dovecot gefunden und gelesen. Das Thema
> Sicherheit habe ich in Bezug auf die beiden Fragen bisher nirgendwo als
> Antwort gefunden.
Doch ganz sicher, in Erscheinung von vmail:vmail.
Tim
>
> Verstehe ich das richtig, wenn dovecot unter dem Benutzer root
> ausgeführt wird ist das in Bezug auf die Sicherheit in Ordnung - oder?
Die Forks davon laufen dann als dovecot, www-data etc...
>
> Und welche Rechte? chmod 770? Muss dann root (der dovecot ausführt) in
> die Gruppe vmail?
>
>> Warum suchst du dir da nicht ein Howto zu, gibts viele.
>
> Ich habe viele HowTos zu dovecot gefunden und gelesen. Das Thema
> Sicherheit habe ich in Bezug auf die beiden Fragen bisher nirgendwo als
> Antwort gefunden.
Tim
Arno Welzel
Apr 14, 2020, 12:50:36 PM4/14/20
to
Anton Blau:
> ich installiere gerade meinen selbstgehosteten dovecot auf Ubuntu
> 18.04.4 LTS neu. Nachdem der dovecot zukünftig für mich direkt aus dem
> Internet erreichbar sein soll, ist mir das Thema Sicherheit sehr wichtig.
>
> Hierzu hätte ich folgende Fragen:
>
> 1. Unter welchem User sollte dovecot denn dovecot sinnvoller Weise laufen?
>
> Ein "ps -aux | grep dovecot" ergibt:
>
> root 148 0.0 0.0 18516 2296 ? Ss 09:41 0:00
> /usr/sbin/dovecot -F
> dovecot 167 0.0 0.0 9868 944 ? S 09:41 0:00
> dovecot/anvil
> root 168 0.0 0.0 10000 1984 ? S 09:41 0:00 dovecot/log
> root 170 0.0 0.0 21412 3196 ? S 09:41 0:00
> dovecot/config
> root 2626 0.0 0.0 13132 880 ? S+ 10:55 0:00 grep
> --color=auto dovecot
>
> Das bedeutet doch, dass dovecot in der standard-Einstellung von ubuntu
> unter dem Unser "root" läuft. Ist das im Hinblick auf die Sicherheit
> des Systems so sinnvoll?
Nur weil Dovecot mit root gestartet wurde, bedeutet nicht, dass auch
alle weiteren Prozesse, die z.B. für imap gestartet werden, ebenso als
root laufen.
Gehe davon aus, dass das Paket für Ubuntu passend passt und man daran
nichts manuell anpassen muss.
> 2. Welche Berechtigungen/Owner sollten im Verzeichnis /var/vmail gesetzt
> sein?
Entsprechend des Users, der in Dovecot dafür konfiguriert wurde.
> Die E-Mails liegen als Maildir in /var/vmail/mail
>
> /etc/dovecot/conf.d/10-mail.conf
> ...
> mail_location = maildir:/var/vmail/mail/%u:INBOX=/var/vmail/mail/%u
> ...
>
> Welche Berechtigungen und Owner sollten denn in den Verzeichnissen
>
> /var/vmail
> /var/vmail/mail
> /var/vmail/sieve
>
> gesetzt sein?
In der Regel "vmail" für User und Gruppe und 700 für Verzeichnisse und
600 für Dateien. Wenn Du nicht sicher bist, lege die Verzeichnisse
innerhalb von /var/vmail nicht selbst an, sondern lasse das Dovecot tun.
Wenn man das erste Mal per IMAP zugreift oder per SMTP via Postfix was
schickt und das dann an Dovecot mit LMTP weitergegeben wird, legt
Dovecot die Verzeichnisse mit den nötigen Rechten auch selber an.
Ansonsten siehe <https://wiki.dovecot.org/HowTo>.
Alternativ wäre vielleicht ein System wie ISPConfig für Dich eine
Alternative - das greift nicht so tief in das System ein, wie Plesk o.Ä.
sondern nutzt nur die vorhandenen Tools, erspart aber viel Handarbeit:
<https://www.howtoforge.com/tutorial/perfect-server-ubuntu-18.04-with-apache-php-myqsl-pureftpd-bind-postfix-doveot-and-ispconfig/2/>
--
Arno Welzel
https://arnowelzel.de
> ich installiere gerade meinen selbstgehosteten dovecot auf Ubuntu
> 18.04.4 LTS neu. Nachdem der dovecot zukünftig für mich direkt aus dem
> Internet erreichbar sein soll, ist mir das Thema Sicherheit sehr wichtig.
>
> Hierzu hätte ich folgende Fragen:
>
> 1. Unter welchem User sollte dovecot denn dovecot sinnvoller Weise laufen?
>
> Ein "ps -aux | grep dovecot" ergibt:
>
> root 148 0.0 0.0 18516 2296 ? Ss 09:41 0:00
> /usr/sbin/dovecot -F
> dovecot 167 0.0 0.0 9868 944 ? S 09:41 0:00
> dovecot/anvil
> root 168 0.0 0.0 10000 1984 ? S 09:41 0:00 dovecot/log
> root 170 0.0 0.0 21412 3196 ? S 09:41 0:00
> dovecot/config
> root 2626 0.0 0.0 13132 880 ? S+ 10:55 0:00 grep
> --color=auto dovecot
>
> Das bedeutet doch, dass dovecot in der standard-Einstellung von ubuntu
> unter dem Unser "root" läuft. Ist das im Hinblick auf die Sicherheit
> des Systems so sinnvoll?
alle weiteren Prozesse, die z.B. für imap gestartet werden, ebenso als
root laufen.
Gehe davon aus, dass das Paket für Ubuntu passend passt und man daran
nichts manuell anpassen muss.
> 2. Welche Berechtigungen/Owner sollten im Verzeichnis /var/vmail gesetzt
> sein?
> Die E-Mails liegen als Maildir in /var/vmail/mail
>
> /etc/dovecot/conf.d/10-mail.conf
> ...
> mail_location = maildir:/var/vmail/mail/%u:INBOX=/var/vmail/mail/%u
> ...
>
> Welche Berechtigungen und Owner sollten denn in den Verzeichnissen
>
> /var/vmail
> /var/vmail/mail
> /var/vmail/sieve
>
> gesetzt sein?
600 für Dateien. Wenn Du nicht sicher bist, lege die Verzeichnisse
innerhalb von /var/vmail nicht selbst an, sondern lasse das Dovecot tun.
Wenn man das erste Mal per IMAP zugreift oder per SMTP via Postfix was
schickt und das dann an Dovecot mit LMTP weitergegeben wird, legt
Dovecot die Verzeichnisse mit den nötigen Rechten auch selber an.
Ansonsten siehe <https://wiki.dovecot.org/HowTo>.
Alternativ wäre vielleicht ein System wie ISPConfig für Dich eine
Alternative - das greift nicht so tief in das System ein, wie Plesk o.Ä.
sondern nutzt nur die vorhandenen Tools, erspart aber viel Handarbeit:
<https://www.howtoforge.com/tutorial/perfect-server-ubuntu-18.04-with-apache-php-myqsl-pureftpd-bind-postfix-doveot-and-ispconfig/2/>
--
Arno Welzel
https://arnowelzel.de
0 new messages